스마트카 기능 발전함에 따라 공격 루트도 늘어나
산업 내에서의 정보공유와 정부 관리자들의 정책 및 문화형성 필요
[보안뉴스 문가용] 신기술로 무장한 자동차들이 앞 다투어 출시되고 있다. 이에 소비자들도 여러 가지 혜택을 누리지만, 해커들에게도 더 많은 기회가 제공된다. 다행히 이제 막 해킹을 시작했거나, 심심풀이로 해킹을 해보는 사람들이 접근하기에는 너무 ‘고급 분야’이지만, 충분한 후원을 받고 든든한 지식배경이 있는 사람들에겐 공략 못 할 것도 없는 게 바로 자동차 해킹이다.
▲ 들어가는 길이야 많지
왜 고급 해커들이 걱정되는 것일까? 자동차 해킹은 운전자와 탑승객들의 목숨만 위협하는 게 아니라, 기업의 가장 은밀한 데이터까지 위협하는 수단이 되기 때문이다. 소비자들의 정보는 물론, 작년 여름 체로키 지프의 대단위 리콜 사태가 또 다시 발생하는 걸 막기 위해서라도 자동차 생산업체들은 보다 능동적이고 효과가 높은 보안 솔루션을 마련해야 할 상황에 놓여 있다.
공격의 다양한 루트 이해하기
스마트카를 공격하는 루트는 방대하며, 항상 변화한다. 몇 가지 예를 들면 다음과 같다.
1. 회사 네트워크를 통해 : 피싱공격, 와이파이 공격, 원격 접근 통제 장치 공격 등 사이버 범죄자들이 기업 전체 네트워크에 발을 들여놓는 것은 이미 보편화된 일이 되었다. 일단 한 번 네트워크 잠입에 성공한 해커들은 권한을 상승시킨다든지 해서 각종 민감한 정보에 도달한다. 그 중에는 특정 자동차나 소비자에 대한 정보가 있기 마련이다. 그리고 이 정보를 통해 자동차를 노리는 게 가능하다.
2. 생산 네트워크 : 이미 발전소나 공장 등 다양한 산업군의 산업 시설물들이 사이버 공격을 받은 사례가 넘칠 정도로 많다. 특히 ICS라고 하는 산업 통제 시스템을 겨냥한 공격이 많은데, 이는 생산 및 발전 과정에 차질을 줄 수 있기 때문이다. 공장이 아니라 소프트웨어를 배포하는 기업이라고 해도, 해커는 배포 채널을 악용해 여러 멀웨어들을 수많은 사용자들에게 흩뿌릴 수 있게 된다. 자동차에도 소프트웨어가 들어간다.
3. 자동차 : 자동차 자체에도 요즘 셀룰라나 블루투스, 적외선 열쇠 기술 등 다양한 통신 관련 기술이 적용되어 있어 해커들이 악용하기 딱 좋은 조건이다. 사실 이미 이런 채널들을 통한 정보를 노리는 행위가 가장 우려되는 현상이기도 하다.
4. 애프터마켓 네트워크 : 기기들과 애플리케이션들은 계속해서 성장하고 바뀌며, 그에 따라 공격의 루트도 바뀐다. 소프트웨어 업그레이드도 그러한 성장 과정 중에 있는 일인데, 가짜 소프트웨어 업데이트 등을 고객들에게 배포하는 식으로 멀웨어를 뿌리는 것도 주요 공격 방법 중 하나다.
자동차 제조업체 입장에서 가장 효과적으로 리스크를 줄이려면 공격의 동기부터 거슬러 올라가는 편이 좋다. 예를 들어 지프 차량의 리콜 사태를 보면, 당시 1천 1백만 대의 차량이 회수되었고, 크라이슬러의 주가는 6.4%나 떨어졌다. 이 경우 누군가 이런 주가 폭락을 노리고 지프 차량을 해킹하는 것도 가능하다. 실제 크라이슬러의 주가는 다시 원상복귀 되었는데, 누군가 리콜 사태 다음 날 크라이슬러의 주식을 샀다면 꽤나 좋은 수익을 거둘 수 있었던 것. 혹은 스마트카의 확산에 반대하는 핵티비스트들이 ‘시위’의 일환으로 해킹을 할 수도 있다.
그렇다면 자동차 산업에 있는 보안 전문가들은 어떤 식으로 리스크를 관리해야 할까? 아직 이렇다 할 방법이 등장한 건 아니다. 지금으로서 최선책은 ‘통합된 접근법’이다. 산업 전체가 정보와 리스크, 심지어 사례들까지도 공유해 피해의 확산을 막아야 한다는 것이다. 요즘 해커들은 한 번 침투에 성공하면 자유롭게 이동이 가능해진다. 그 움직임을 최대한 제한시켜야 한다.
그리고 여기엔 산업보다 위에 있는, 정부나 정책과 관련된 조직들의 최고 보안 담당자들이 할 일도 있다.
1. 기업 네트워크, 생산시설, 자동차 관리 시스템, 공급망, 애프터마켓 등 조직의 전체를 아우르는 보안 접근법을 장려 및 독려해야 한다. 비슷한 기업, 혹은 비슷한 기능, 비슷한 직군들끼리 협력하도록 해야 하는데, 이때 중앙에서 강력한 리더십을 가진 존재 혹은 팀이 있어야 한다. 어설픈 공유는 중구난방이 될 뿐이다.
2. 보안 문화를 정착시켜야 한다. 침투 테스트를 자주 갖게 하고 범죄자들의 특성 및 심리상태도 함께 배울 수 있도록 해 사용자 스스로가 바짝 날이 선 보안의 상태를 유지할 수 있어야 한다. 또한 여러 신기술들, 인간의 약점들에 대한 접근도 흥미로울 수 있다.
3. 지속적인 보안의 향상이 있어야 한다. 이는 취약점의 발견, 익스플로잇, 복구의 순환주기를 시스템화함으로써 만들어갈 수 있다. 한 번만 하는 게 아니라 주기적으로, 연속해서 할 수 있도록 하는 것이 시스템이다. 해커들의 공격 시도는 시간 단위, 분 단위로 일어나는데, 방어자는 그것보다 더 부지런해야 한다.
글 : 에릭 프라이드버그(Eric Friedberg)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
산업 내에서의 정보공유와 정부 관리자들의 정책 및 문화형성 필요
[보안뉴스 문가용] 신기술로 무장한 자동차들이 앞 다투어 출시되고 있다. 이에 소비자들도 여러 가지 혜택을 누리지만, 해커들에게도 더 많은 기회가 제공된다. 다행히 이제 막 해킹을 시작했거나, 심심풀이로 해킹을 해보는 사람들이 접근하기에는 너무 ‘고급 분야’이지만, 충분한 후원을 받고 든든한 지식배경이 있는 사람들에겐 공략 못 할 것도 없는 게 바로 자동차 해킹이다.
▲ 들어가는 길이야 많지
왜 고급 해커들이 걱정되는 것일까? 자동차 해킹은 운전자와 탑승객들의 목숨만 위협하는 게 아니라, 기업의 가장 은밀한 데이터까지 위협하는 수단이 되기 때문이다. 소비자들의 정보는 물론, 작년 여름 체로키 지프의 대단위 리콜 사태가 또 다시 발생하는 걸 막기 위해서라도 자동차 생산업체들은 보다 능동적이고 효과가 높은 보안 솔루션을 마련해야 할 상황에 놓여 있다.
공격의 다양한 루트 이해하기
스마트카를 공격하는 루트는 방대하며, 항상 변화한다. 몇 가지 예를 들면 다음과 같다.
1. 회사 네트워크를 통해 : 피싱공격, 와이파이 공격, 원격 접근 통제 장치 공격 등 사이버 범죄자들이 기업 전체 네트워크에 발을 들여놓는 것은 이미 보편화된 일이 되었다. 일단 한 번 네트워크 잠입에 성공한 해커들은 권한을 상승시킨다든지 해서 각종 민감한 정보에 도달한다. 그 중에는 특정 자동차나 소비자에 대한 정보가 있기 마련이다. 그리고 이 정보를 통해 자동차를 노리는 게 가능하다.
2. 생산 네트워크 : 이미 발전소나 공장 등 다양한 산업군의 산업 시설물들이 사이버 공격을 받은 사례가 넘칠 정도로 많다. 특히 ICS라고 하는 산업 통제 시스템을 겨냥한 공격이 많은데, 이는 생산 및 발전 과정에 차질을 줄 수 있기 때문이다. 공장이 아니라 소프트웨어를 배포하는 기업이라고 해도, 해커는 배포 채널을 악용해 여러 멀웨어들을 수많은 사용자들에게 흩뿌릴 수 있게 된다. 자동차에도 소프트웨어가 들어간다.
3. 자동차 : 자동차 자체에도 요즘 셀룰라나 블루투스, 적외선 열쇠 기술 등 다양한 통신 관련 기술이 적용되어 있어 해커들이 악용하기 딱 좋은 조건이다. 사실 이미 이런 채널들을 통한 정보를 노리는 행위가 가장 우려되는 현상이기도 하다.
4. 애프터마켓 네트워크 : 기기들과 애플리케이션들은 계속해서 성장하고 바뀌며, 그에 따라 공격의 루트도 바뀐다. 소프트웨어 업그레이드도 그러한 성장 과정 중에 있는 일인데, 가짜 소프트웨어 업데이트 등을 고객들에게 배포하는 식으로 멀웨어를 뿌리는 것도 주요 공격 방법 중 하나다.
자동차 제조업체 입장에서 가장 효과적으로 리스크를 줄이려면 공격의 동기부터 거슬러 올라가는 편이 좋다. 예를 들어 지프 차량의 리콜 사태를 보면, 당시 1천 1백만 대의 차량이 회수되었고, 크라이슬러의 주가는 6.4%나 떨어졌다. 이 경우 누군가 이런 주가 폭락을 노리고 지프 차량을 해킹하는 것도 가능하다. 실제 크라이슬러의 주가는 다시 원상복귀 되었는데, 누군가 리콜 사태 다음 날 크라이슬러의 주식을 샀다면 꽤나 좋은 수익을 거둘 수 있었던 것. 혹은 스마트카의 확산에 반대하는 핵티비스트들이 ‘시위’의 일환으로 해킹을 할 수도 있다.
그렇다면 자동차 산업에 있는 보안 전문가들은 어떤 식으로 리스크를 관리해야 할까? 아직 이렇다 할 방법이 등장한 건 아니다. 지금으로서 최선책은 ‘통합된 접근법’이다. 산업 전체가 정보와 리스크, 심지어 사례들까지도 공유해 피해의 확산을 막아야 한다는 것이다. 요즘 해커들은 한 번 침투에 성공하면 자유롭게 이동이 가능해진다. 그 움직임을 최대한 제한시켜야 한다.
그리고 여기엔 산업보다 위에 있는, 정부나 정책과 관련된 조직들의 최고 보안 담당자들이 할 일도 있다.
1. 기업 네트워크, 생산시설, 자동차 관리 시스템, 공급망, 애프터마켓 등 조직의 전체를 아우르는 보안 접근법을 장려 및 독려해야 한다. 비슷한 기업, 혹은 비슷한 기능, 비슷한 직군들끼리 협력하도록 해야 하는데, 이때 중앙에서 강력한 리더십을 가진 존재 혹은 팀이 있어야 한다. 어설픈 공유는 중구난방이 될 뿐이다.
2. 보안 문화를 정착시켜야 한다. 침투 테스트를 자주 갖게 하고 범죄자들의 특성 및 심리상태도 함께 배울 수 있도록 해 사용자 스스로가 바짝 날이 선 보안의 상태를 유지할 수 있어야 한다. 또한 여러 신기술들, 인간의 약점들에 대한 접근도 흥미로울 수 있다.
3. 지속적인 보안의 향상이 있어야 한다. 이는 취약점의 발견, 익스플로잇, 복구의 순환주기를 시스템화함으로써 만들어갈 수 있다. 한 번만 하는 게 아니라 주기적으로, 연속해서 할 수 있도록 하는 것이 시스템이다. 해커들의 공격 시도는 시간 단위, 분 단위로 일어나는데, 방어자는 그것보다 더 부지런해야 한다.
글 : 에릭 프라이드버그(Eric Friedberg)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
